Категорирование объектов критической информационной инфраструктуры (КИИ) — вещь, о которой многие компании вспоминают, когда уже пришло письмо из ФСТЭК. А ведь, по сути, это не просто "обязаловка ради галочки", а инструмент, который помогает самому бизнесу понять: какие системы держат компанию «на плаву», а где можно позволить себе пару часов простоя без последствий.
В 2022 году внимание к КИИ выросло в разы. Выросло количество проверок, в части требований — добавилось импортозамещение, в связи с чем еще больше выросла ответственность . Особенно это почувствовали банки, энергетика, транспорт и связь — у этих сфер теперь нет права на «бумажную безопасность».
Закон — это основа, но не инструкция по выживанию
Формально всё держится на трех документах:
- 187-ФЗ «О безопасности критической информационной инфраструктуры»;
- Постановлении № 127-ПП, где описаны правила категорирования объектов.
- Методический документ «Методика оценки угроз безопасности информации, утвержден 5 февраля 2021 г. ФСТЭК России
Эти документы определяют, кто попадает под закон, как выглядит процедура и что делать с результатом. Но в реальности сухие формулировки мало помогают. Чтобы пройти проверку спокойно, нужно понимать не только "что написано", но и "зачем это написано".
Закон охватывает 14 сфер: здравоохранение, наука, транспорт, связь, энергетика, банковская сфера и иные сферы финансового рынка, ТЭК, атомная энергетика, ОПК, ракетно-космическая, горнодобывающая, металлургическая и химическая промышленность. Если компания работает хотя бы в одной из них — формально она уже потенциальный субъект КИИ.
Зачем всё это нужно
Цель категорирования проста — понять, где слабое место, и оценить, какой ущерб принесёт его отказ. Речь не только про деньги. Например:
- вирус Stuxnet когда-то вывел из строя промышленные системы — урок, который до сих пор изучают во всех службах ИБ;
- сбои в банковских сетях оставляли клиентов без доступа к счетам;
- атаки на ИТ-инфраструктуру энергетиков приводили к массовым отключениям.
Каждый такой случай показывает: угрозы реальны, и ФСТЭК смотрит на компании не как на формалистов, а как на потенциальные источники рисков.
Кто считается субъектом КИИ
Тут без сюрпризов. Субъектами КИИ признаются организации, которые:
- работают в одной из 14 сфер из 187-ФЗ;
- предоставляют услуги населению или государству;
- могут причинить значительный вред при сбое — будь то экология, экономика или безопасность.
Если ваши системы реально влияют на жизнь людей — категория вас, рано или поздно, догонит.
Как это проходит на практике
- Создаётся комиссия. Руководитель утверждает приказ и включает туда специалистов по ИТ и ИБ.
- Определяются объекты. Всё, что критично — серверы, системы управления, каналы связи, SCADA-узлы.
- Собираются данные по форме 236. Архитектура, угрозы, ПО, владельцы, связи — целый список.
- Оценивается ущерб и присваивается категория:
- 1 категория — критично для государства;
- 2 категория — для региона или отрасли;
- 3 категория — влияет только на саму компанию;
- без категории — объект незначим.
5.Заполненые сведения по форме утвержденной 236 приказом ФСТЭК, в течение 10 дней со дня утверждения акта категорирования, отправляется во ФСТЭК России
Дальше инспекция либо подтверждает категорию, либо просит доработать. Если объект признан значимым — он включается в реестр ЗОКИИ, и на него распространяются приказы № 227, 235 и 239.
Ошибки, которые встречаются чаще всего
- Комиссию собирают "для галочки" — без технарей, которые реально понимают архитектуру.
- Рассматривают не все системы, что всплывает во время проверки
- Форма утвержденная 236 приказом заполняется бездумно — в итоге сведения отправляются либо неполные, либо недостоверные.
- При расчете ущерба указывают на неактуальность критериев значимости.
ФСТЭК это видит мгновенно — и акт возвращается "на доработку".
Из реальной практики
У одной энергетической компании под управлением была диспетчерская система. Отказ этой системы — это не просто сбой: на несколько часов встаёт целый регион. Такой объект получил 1 категорию.
А внутренний сервис для техподдержки — хоть и важен для работы персонала, но для внешних пользователей незаметен. Он остался "без категории".
Вроде очевидно, но на проверках именно с такими вещами спорят чаще всего.
Что делать после утверждения категории
Категорию подтвердили — теперь вы официально в реестре.
Дальше начинается рутинная, но важная часть:
- Разработка модели угроз;
- Внедрение мер из 239 приказа ФСТЭК;
- Настройка мониторинга событий;
- Аттестация систем защиты.
Это не лишняя бюрократия, а страховка: если случится инцидент, именно эти документы покажут, что компания всё сделала по правилам.
Также не реже одного раза в 5 лет (или в случае изменения показателей критериев значимости объектов или их значений) необходимо проводить процедуру актуализации сведений. А по прошествии 5 лет необходимо перекатегорироваться.
Как пройти проверку без стресса
- Собирайте документы заранее, а не "к требованию".
- Делайте нормальные описания регламентов защиты, а не копируйте шаблон из интернета.
- Не пытайтесь спорить с ФСТЭК — лучше обоснуйте свои решения фактами по букве закона.
- Привлекайте специалистов — их опыт реально экономит месяцы.
Категорирование — не враг бизнеса, а инструмент, который помогает держать инфраструктуру под контролем. Если подойти к этому осознанно, проверка превращается не в стресс, а в чек-ап системы безопасности. А компании, которые проходят категорирование вдумчиво, потом меньше страдают от аудитов и гораздо спокойнее спят.
Если у вас остались какие то вопросы, мы можете связаться с нами на нашем сайте: https://abp2b.com/